Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la aplicación Visual Voice Mail (VVM) para Android (CVE-2022-23835)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
25/02/2022
Última modificación:
03/08/2024

Descripción

** EN DISPUTA ** La aplicación Visual Voice Mail (VVM) versiones hasta el 2022-02-24 para Android, permite un acceso persistente si un atacante controla temporalmente una aplicación que presenta el permiso READ_SMS, y lee un mensaje de credenciales IMAP que (por diseño) no es mostrado a la víctima dentro de la aplicación de mensajería AOSP SMS/MMS. (A menudo, las credenciales IMAP pueden usarse para escuchar los mensajes de correo de voz enviados antes de que sea explotada la vulnerabilidad, además de los nuevos). NOTA: algunos vendedores caracterizan esto como un "riesgo concreto y explotable".<br />

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:visual_voice_mail_project:visual_voice_mail:*:*:*:*:*:android:*:* 2022-02-24 (incluyendo)